目錄結構,組織數據,單獨記錄,定製對象,示例,目錄優勢,開發方式,目錄服務,訪問控制,使用許可權,LDAP協定,命名格式,名詞詮釋,PART1,PART2,PART3,PART4,
目錄結構
LDAP目錄以樹狀的層次結構來存儲數據。如果你對自頂向下的DNS樹或UNIX檔案的目錄樹比較熟悉,也就很容易掌握LDAP目錄樹這個概念了。就象DNS的
主機名那樣,LDAP目錄記錄的標識名(Distinguished Name,簡稱DN)是用來讀取單個記錄,以及回溯到樹的頂部。後面會做詳細地介紹。
為什麼要用層次結構來組織數據呢?原因是多方面的。下面是可能遇到的一些情況:
l 如果你想把所有的美國客戶的聯繫信息都“推”到位於到
西雅圖辦公室(負責行銷)的LDAP
伺服器上,但是你不想把公司的資產管理信息“推”到那裡。
l 你可能想根據目錄樹的結構給予不同的員工組不同的許可權。在下面的例子裡,資產管理組對“asset-mgmt"部分有完全的訪問許可權,但是不能訪問其它地方。
l 把LDAP存儲和複製功能結合起來,可以定製目錄樹的結構以降低對WAN頻寬的要求。位於西雅圖的行銷辦公室需要每分鐘更新的美國銷售狀況的信息,但是歐洲的銷售情況就只要每小時更新一次就行了。
刨根問底:基準DN
LDAP目錄樹的最頂部就是根,也就是所謂的“基準DN"。基準DN通常使用下面列出的三種格式之一。假定我在名為FooBar的電子商務公司工作,這家公司在Internet上的名字是foobar
o="FooBar, Inc.", c=US
(以X.500格式表示的基準DN)
在這個例子中,o=FooBar, Inc. 表示組織名,在這裡就是公司名的同義詞。c=US 表示公司的總部在美國。以前,一般都用這種方式來表示基準DN。但是事物總是在不斷變化的,現在所有的公司都已經(或計畫)上Internet上。隨著Internet的全球化,在基準DN中使用國家代碼很容易讓人產生混淆。現在,X.500格式發展成下面列出的兩種格式。
o=foobar.com
(用公司的Internet地址表示的基準DN)
這種格式很直觀,用公司的
域名作為基準DN。這也是現在最常用的格式。
dc=foobar, dc=com
(用DNS域名的不同部分組成的基準DN)
就象上面那一種格式,這種格式也是以DNS域名為基礎的,但是上面那種格式不改變域名(也就更易讀),而這種格式把域名:foobar點com分成兩部分 dc=foobar, dc=com。在理論上,這種格式可能會更靈活一點,但是對於最終用戶來說也更難記憶一點。考慮一下foobar.com這個例子。當foobar.com和gizmo.com合併之後,可以簡單的把“dc=com"當作基準DN。把新的記錄放到已經存在的dc=gizmo, dc=com目錄下,這樣就簡化了很多工作(當然,如果foobar.com和wocket.edu合併,這個方法就不能用了)。如果LDAP
伺服器是新安裝的,我建議你使用這種格式。再請注意一下,如果你打算使用
活動目錄(Active Directory),Microsoft已經限制你必須使用這種格式。
組織數據
在UNIX檔案系統中,最頂層是根目錄(root)。在根目錄的下面有很多的檔案和目錄。象上面介紹的那樣,LDAP目錄也是用同樣的方法組織起來的。
在根目錄下,要把數據從邏輯上區分開。因為歷史上(X.500)的原因,大多數LDAP目錄用OU從邏輯上把數據分開來。OU表示“Organization Unit",在X.500協定中是用來表示公司內部的機構:銷售部、財務部,等等。現在LDAP還保留ou=這樣的命名規則,但是擴展了分類的範圍,可以分類為:ou=people, ou=groups, ou=devices,等等。更低一級的OU有時用來做更細的歸類。例如:LDAP目錄樹(不包括單獨的記錄)可能會是這樣的:
dc=foobar, dc=com
ou=customers
ou=asia
ou=europe
ou=usa
ou=employees
ou=rooms
ou=groups
ou=assets-mgmt
ou=nisgroups
ou=recipes
單獨記錄
DN是LDAP記錄項的名字
在LDAP目錄中的所有記錄項都有一個唯一的“Distinguished Name",也就是DN。每一個LDAP記錄項的DN是由兩個部分組成的:相對DN(RDN)和記錄在LDAP目錄中的位置。
RDN是DN中與目錄樹的結構無關的部分。在LDAP目錄中存儲的記錄項都要有一個名字,這個名字通常存在cn(Common Name)這個屬性里。因為幾乎所有的東西都有一個名字,在LDAP中存儲的對象都用它們的cn值作為RDN的基礎。如果我把最喜歡的吃燕麥粥食譜存為一個記錄,我就會用cn=Oatmeal Deluxe作為記錄項的RDN。
l 我的LDAP目錄的基準DN是dc=foobar,dc=com
l 我把自己的食譜作為LDAP的記錄項存在ou=recipes
l 我的LDAP記錄項的RDN設為cn=Oatmeal Deluxe
上面這些構成了燕麥粥食譜的LDAP記錄的完整DN。記住,DN的讀法和DNS
主機名類似。下面就是完整的DN:
cn=Oatmeal Deluxe,ou=recipes,dc=foobar,dc=com
舉一個實際的例子來說明DN
現在為公司的員工設定一個DN。可以用基於cn或uid(User ID),作為典型的用戶帳號。例如,FooBar的員工Fran Smith(
登錄名:fsmith)的DN可以為下面兩種格式:
uid=fsmith,ou=employees,dc=foobar,dc=com
(基於登錄名)
LDAP(以及X.500)用uid表示“User ID",不要把它和UNIX的uid號混淆了。大多數公司都會給每一個員工唯一的登錄名,因此用這個辦法可以很好地保存員工的信息。你不用擔心以後還會有一個叫Fran Smith的加入公司,如果Fran改變了她的名字(結婚?離婚?或宗教原因?),也用不著改變LDAP記錄項的DN。
cn=Fran Smith,ou=employees,dc=foobar,dc=com
(基於姓名)
可以看到這種格式使用了Common Name(CN)。可以把Common Name當成一個人的全名。這種格式有一個很明顯的缺點就是:如果名字改變了,LDAP的記錄就要從一個DN轉移到另一個DN。但是,我們應該儘可能地避免改變一個記錄項的DN。
定製對象
你可以用LDAP存儲各種類型的
數據對象,只要這些對象可以用屬性來表示,下面這些是可以在LDAP中存儲的一些信息:
l 員工信息:員工的姓名、
登錄名、口令、員工號、他的經理的登錄名,
郵件伺服器,等等。
l 物品跟蹤信息:計算機名、IP位址、標籤、型號、所在位置,等等。
l 客戶聯繫列表:客戶的公司名、主要聯繫人的電話、傳真和電子郵件,等等。
l 會議廳信息:會議廳的名字、位置、可以坐多少人、電話號碼、是否有投影機。
l 食譜信息:菜的名字、配料、烹調方法以及準備方法。
因為LDAP目錄可以定製成存儲任何文本或二進制數據,到底存什麼要由你自己決定。LDAP目錄用對象類型(object classes)的概念來定義運行哪一類的對象使用什麼屬性。在幾乎所有的LDAP
伺服器中,你都要根據自己的需要擴展基本的LDAP目錄的功能,創建新的對象類型或者擴展現存的對象類型。
LDAP目錄以一系列“屬性對”的形式來存儲記錄項,每一個記錄項包括屬性類型和屬性值(這與關係型資料庫用行和列來存取數據有根本的不同)。下面是我存在LDAP目錄中的一部分食譜記錄:
dn: cn=Oatmeal Deluxe, ou=recipes, dc=foobar, dc=com
cn: Instant Oatmeal Deluxe
recipeCuisine: breakfast
recipeIngredient: 1 packet instant oatmeal
recipeIngredient: 1 cup water
recipeIngredient: 1 pinch salt
recipeIngredient: 1 tsp brown sugar
recipeIngredient: 1/4 apple, any type
請注意上面每一種配料都作為屬性recipeIngredient值。LDAP目錄被設計成象上面那樣為一個屬性保存多個值的,而不是在每一個屬性的後面用逗號把一系列值分開。
因為用這樣的方式存儲數據,所以資料庫就有很大的靈活性,不必為加入一些新的數據就重新創建表和索引。更重要的是,LDAP目錄不必花費記憶體或硬碟空間處理“空”域,也就是說,實際上不使用可選擇的域也不會花費你任何資源。
示例
讓我們看看下面這個例子。我們用Foobar, Inc.的員工Fran Smith的LDAP記錄。這個記錄項的格式是LDIF,用來導入和導出LDAP目錄的記錄項。
dn: uid=fsmith, ou=employees, dc=foobar, dc=com
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
objectclass: foobarPerson
uid: fsmith
givenname: Fran
sn: Smith
cn: Fran Smith
cn: Frances Smith
telephonenumber: 510-555-1234
roomnumber: 122G
o: Foobar, Inc.
mailhost: mail.foobar.com
userpassword: {crypt}3x1231v76T89N
uidnumber: 1234
gidnumber: 1200
homedirectory: /home/fsmith
loginshell: /usr/local/bin/bash
屬性的值在保存的時候是保留大小寫的,但是在默認情況下搜尋的時候是不區分大小寫的。某些特殊的屬性(例如,password)在搜尋的時候需要區分大小寫。
讓我們一點一點地分析上面的記錄項。
dn: uid=fsmith, ou=employees, dc=foobar, dc=com
這是Fran的LDAP記錄項的完整DN,包括在目錄樹中的完整路徑。LDAP(和X.500)使用uid(User ID),不要把它和UNIX的uid號混淆了。
objectclass: person
objectclass: inetOrgPerson
objectclass: foobarPerson
可以為任何一個對象根據需要分配多個對象類型。person對象類型要求cn(common name)和sn(surname)這兩個域不能為空。person對象類型允許有其它的可選域,包括givenname、telephonenumber,等等。organizational Person給person加入更多的可選域,inetOrgPerson又加入更多的可選域(包括電子郵件信息)。最後,foobarPerson是為Foobar定製的對象類型,加入了很多定製的屬性。
uid: fsmith
givenname: Fran
sn: Smith
cn: Fran Smith
cn: Frances Smith
telephonenumber: 510-555-1234
roomnumber: 122G
o: Foobar, Inc.
以前說過了,uid表示User ID。當看到uid的時候,就在腦袋裡想一想“login"。
請注意CN有多個值。就象上面介紹的,LDAP允許某些屬性有多個值。為什麼允許有多個值呢?假定你在用公司的LDAP
伺服器查找Fran的電話號碼。你可能只知道她的名字叫Fran,但是對人力資源處的人來說她的正式名字叫做Frances。因為保存了她的兩個名字,所以用任何一個名字檢索都可以找到Fran的電話號碼、電子郵件和辦公房間號,等等。
mailhost: mail.foobar.com
就象現在大多數的公司都上網了,Foobar用Sendmail傳送郵件和處理外部郵件路由信息。Foobar把所有用戶的郵件信息都存在LDAP中。最新版本的Sendmail支持這項功能。
Userpassword: {crypt}3x1231v76T89N
uidnumber: 1234
gidnumber: 1200
gecos: Frances Smith
homedirectory: /home/fsmith
loginshell: /usr/local/bin/bash
注意,Foobar的系統管理員把所有用戶的口令映射信息也都存在LDAP中。FoobarPerson類型的對象具有這種能力。再注意一下,用戶口令是用UNIX的口令加密格式存儲的。UNIX的uid在這裡為uidnumber。提醒你一下,關於如何在LDAP中保存NIS信息,有完整的一份RFC。在以後的文章中我會談一談NIS的集成。
LDAP複製
LDAP
伺服器可以使用基於“推”或者“拉”的技術,用簡單或基於安全證書的安全驗證,複製一部分或者所有的數據。
例如,Foobar有一個“公用的”LDAP伺服器,地址為ldap.foobar.com,連線埠為389。Netscape Communicator的電子郵件查詢功能、UNIX的“ph"命令要用到這個伺服器,用戶也可以在任何地方查詢這個伺服器上的員工和客戶聯繫信息。公司的主LDAP
伺服器運行在相同的計算機上,不過
連線埠號是1389。
你可能即不想讓員工查詢資產管理或食譜的信息,又不想讓信息技術人員看到整個公司的LDAP目錄。為了解決這個問題,Foobar有選擇地把子目錄樹從主LDAP伺服器複製到“公用”LDAP伺服器上,不複製需要隱藏的信息。為了保持數據始終是最新的,主
目錄伺服器被設定成即時“推”同步。這些種方法主要是為了方便,而不是安全,因為如果有許可權的用戶想查詢所有的數據,可以用另一個LDAP連線埠。
假定Foobar通過從
奧克蘭到歐洲的低頻寬數據的連線用LDAP管理客戶聯繫信息。可以建立從ldap.foobar.com:1389到munich-ldap.foobar.com:389的數據複製,象下面這樣:
periodic pull: ou=asia,ou=customers,o=sendmail.com
periodic pull: ou=us,ou=customers,o=sendmail.com
immediate push: ou=europe,ou=customers,o=sendmail.com
“拉”連線每15分鐘同步一次,在上面假定的情況下足夠了。“推”連線保證任何歐洲的聯繫信息發生了變化就立即被“推”到Munich。
用上面的複製模式,用戶為了訪問數據需要連線到哪一台
伺服器呢?在Munich的用戶可以簡單地連線到本地伺服器。如果他們改變了數據,本地的LDAP伺服器就會把這些變化傳到主LDAP伺服器。然後,主LDAP伺服器把這些變化“推”回本地的“公用”LDAP伺服器保持數據的同步。這對本地的用戶有很大的好處,因為所有的查詢(大多數是讀)都在本地的伺服器上進行,速度非常快。當需要改變信息的時候,最終用戶不需要重新配置客戶端的軟體,因為LDAP
目錄伺服器為他們完成了所有的數據交換工作。
目錄優勢
開發方式
如果需要開發一種提供公共信息查詢的系統一般的設計方法可能是採用基於WEB的
資料庫設計方式,即前端使用瀏覽器而後端使用
WEB伺服器加上關係資料庫。後端在Windows的典型實現可能是Windows NT + IIS + Acess資料庫或者是SQL SERVER,IIS和資料庫之間通過ASP技術使用ODBC進行連線,達到通過填寫
表單查詢數據的功能;
目錄服務
後端在Linux系統的典型實現可能是Linux+ Apache + postgresql,Apache和資料庫之間通過PHP3提供的函式進行連線。使用上述方法的缺點是後端關係資料庫的引入導致系統整體的性能降低和系統的管理比較繁瑣,因為需要不斷的進行數據類型的驗證和事務的完整性的確認;並且前端用戶對數據的控制不夠靈活,用戶許可權的設定一般只能是設定在表一級而不是設定在記錄一級。
目錄服務的推出主要是解決上述資料庫中存在的問題。目錄與關係資料庫相似,是指具有描述性的基於屬性的記錄集合,但它的數據類型主要是字元型,為了檢索的需要添加了BIN(二進制數據)、CIS(忽略大小寫)、CES(大小寫敏感)、TEL(電話型)等語法(Syntax),而不是關係資料庫提供的整數、浮點數、日期、貨幣等類型,
同樣也不提供象關係資料庫中普遍包含的大量的函式,它主要面向數據的查詢服務(查詢和修改操作比一般是大於10:1),不提供
事務的
回滾(rollback)機制,它的
數據修改使用簡單的鎖定機制實現All-or-Nothing,它的目標是快速回響和大容量查詢並且提供多
目錄伺服器的信息複製功能。
現在該說說LDAP目錄到底有些什麼優勢了。現在LDAP的流行是很多因素共同作用的結果。可能LDAP最大的優勢是:可以在任何
計算機平台上,用很容易獲得的而且數目不斷增加的LDAP的客戶端程式訪問LDAP目錄。而且也很容易定製應用程式為它加上LDAP的支持。
訪問控制
LDAP提供很複雜的不同層次的訪問控制或者ACI。因這些訪問可以在
伺服器端控制,這比用客戶端的軟體保證數據的安全可安全多了。
用LDAP的ACI,可以完成:
l 給予用戶改變他們自己的電話號碼和家庭地址的許可權,但是限制他們對其它數據(如,職務名稱,經理的
登錄名,等等)只有“唯讀”許可權。
l 給予“HR-admins"組中的所有人許可權以改變下面這些用戶的信息:經理、工作名稱、員工號、部門名稱和部門號。但是對其它域沒有寫許可權。
l 禁止任何人查詢LDAP伺服器上的用戶口令,但是可以允許用戶改變他或她自己的口令。
l 給予經理訪問他們上級的家庭電話的唯讀許可權,但是禁止其他人有這個許可權。
l 給予“host-admins"組中的任何人創建、刪除和編輯所有保存在LDAP
伺服器中的與計算機
主機有關的信息
l 通過Web,允許“foobar-sales"組中的成員有選擇地給予或禁止他們自己讀取一部分客戶聯繫數據的讀許可權。這將允許他們把客戶聯繫信息下載到本地的筆記本電腦或
個人數字助理(PDA)上。(如果銷售人員的軟體都支持LDAP,這將非常有用)
l 通過Web,允許組的
所有者刪除或添加他們擁有的組的成員。例如:可以允許銷售經理給予或禁止銷售人員改變Web頁的許可權。也可以允許郵件假名(mail aliase)的所有者不經過IT技術人員就直接從郵件假名中刪除或添加用戶。“公用”的
郵件列表應該允許用戶從郵件假名中添加或刪除自己(但是只能是自己)。也可以對IP位址或
主機名加以限制。例如,某些域只允許用戶IP位址以192.168.200.*開頭的有讀的許可權,或者用戶反向查找DNS得到的主機名必須為*.foobar.com。
使用許可權
LDAP允許你根據需要使用ACI(一般都稱為ACL或者
訪問控制列表)控制對數據讀和寫的許可權。例如,
設備管理員可以有權改變員工的工作地點和辦公室號碼,但是不允許改變記錄中其它的域。ACI可以根據誰訪問數據、訪問什麼數據、數據存在什麼地方以及其它對數據進行
訪問控制。因為這些都是由LDAP
目錄伺服器完成的,所以不用擔心在客戶端的應用程式上是否要進行安全檢查。
LDAP(Lightweight Directory Access Protocol)是
目錄服務在TCP/IP上的實現(RFC 1777 V2版和RFC 2251 V3版)。它是對X500的目錄協定的移植,但是簡化了實現方法,所以稱為輕量級的目錄服務。在LDAP中目錄是按照樹型結構組織,目錄由條目(Entry)組成,條目相當於關係資料庫中表的記錄;條目是具有區別名DN(Distinguished Name)的屬性(Attribute)集合,DN相當於關係資料庫表中的主鍵(Primary Key);屬性由類型(Type)和多個值(Values)組成,相當於關係資料庫中的域(Field)由
域名和數據類型組成,只是為了方便檢索的需要,LDAP中的Type可以有多個Value,而不是關係資料庫中為降低數據的
冗餘性要求實現的各個域必須是不相關的。LDAP中條目的組織一般按照地理位置和組織關係進行組織,非常的直觀。LDAP把數據存放在檔案中,為提高效率可以使用基於索引的
檔案資料庫,而不是關係資料庫。LDAP
協定集還規定了DN的命名方法、存取控制方法、搜尋格式、複製方法、
URL格式、開發接口等。
LDAP對於這樣存儲這樣的信息最為有用,也就是數據需要從不同的地點讀取,但是不需要經常更新。
例如,這些信息存儲在LDAP目錄中是十分有效的:
l 公司員工的電話號碼簿和組織結構圖
l 客戶的聯繫信息
l 計算機管理需要的信息,包括NIS映射、email假名,等等
l軟體包的配置信息
l 公用證書和安全密匙
什麼時候該用LDAP存儲數據
大多數的LDAP
伺服器都為讀密集型的操作進行專門的最佳化。因此,當從LDAP伺服器中讀取數據的時候會比從專門為OLTP最佳化的關係型資料庫中讀取數據快一個數量級。也是因為專門為讀的性能進行最佳化,大多數的LDAP
目錄伺服器並不適合存儲需要經常改變的數據。例如,用LDAP伺服器來存儲電話號碼是一個很好的選擇,但是它不能作為電子商務站點的
資料庫伺服器。
如果下面每一個問題的答案都是“是”,那么把數據存在LDAP中就是一個好主意。
l 需要在任何平台上都能讀取數據嗎?
l 每一個單獨的記錄項是不是每一天都只有很少的改變?
l 可以把數據存在平面資料庫(flat database)而不是關係型資料庫中嗎?換句話來說,也就是不管什麼範式不範式的,把所有東西都存在一個記錄中(差不多隻要滿足
第一範式)。
最後一個問題可能會唬住一些人,其實用平面資料庫去存儲一些關係型的數據也是很一般的。例如,一條公司員工的記錄就可以包含經理的登錄名。用LDAP來存儲這類信息是很方便的。一個簡單的判斷方法:如果可以把數據存在一張張的卡片裡,就可以很容易地把它存在LDAP目錄里。
LDAP協定
LDAP協定是跨平台的和標準的協定,因此應用程式就不用為LDAP目錄放在什麼樣的
伺服器上操心了。實際上,LDAP得到了業界的廣泛認可,因為它是Internet的標準。廠商都很願意在產品中加入對LDAP的支持,因為他們根本不用考慮另一端(客戶端或服務端)是怎么樣的。LDAP伺服器可以是任何一個
開放原始碼或商用的LDAP目錄伺服器(或者還可能是具有LDAP界面的關係型資料庫),因為可以用同樣的協定、客戶端連線軟體包和查詢命令與LDAP伺服器進行互動。與LDAP不同的是,如果軟體廠商想在軟體產品中集成對DBMS的支持,那么通常都要對每一個
資料庫伺服器單獨定製。不象很多商用的關係型資料庫,你不必為LDAP的每一個客戶端連線或許可協定付費。大多數的LDAP
伺服器安裝起來很簡單,也容易維護和最佳化。
命名格式
LDAP協定中採用的命名格式, 因為我們需要通過名字信息訪問目錄對象,所以名字格式對於用戶或者應用程式非常重要。
活動目錄支持大多數的名字格式類型。較為常用的格式有以下兩種:
LDAP URL 和X.500
任何一個支持LDAP 的客戶都可以利用LDAP名通過LDAP 協定訪問活動目錄,LDAP 名不像普通的Internet URL 名字那么直觀,但是LDAP 名往往隱藏在 套用系統的內部,最終用戶很少直接使用LDAP 名。LDAP 名使用X.500 命名規 范,也稱為屬性化命名法,包括
活動目錄服務所在的
伺服器以及對象的屬性信息。
名詞詮釋
PART1
1.1. LDAP是什麼
1.2. LDAP是電話簿
1.3. LDAP是不是資料庫
PART2
2. LDAP的特點
2.1. LDAP的優勢
2.1.1 跨平台
2.1.2 費用及維護
大多數的LDAP伺服器安裝起來很簡單,也容易維護和最佳化。
2.1.3 複製技術
2.1.4 允許使用ACI
2.2. LDAP存儲什麼數據
LDAP對於這樣存儲這樣的信息最為有用:也就是數據需要從不同的地點讀取,但是不需要經常更新。例如,這些信息存儲在LDAP目錄中是十分有效的:
l 公司員工的電話號碼簿和組織結構圖
l 客戶的聯繫信息
l 軟體包的配置信息
l 公用證書和安全密匙
2.3. 什麼時候該用LDAP存儲數據
如果下面每一個問題的答案都是"是",那么把數據存在LDAP中就是一個好主意。
l 需要在任何平台上都能讀取數據嗎?
l 每一個單獨的記錄項是不是每一天都只有很少的改變?
PART3
3. LDAP的基本模型
3.1 信息模型:描述LDAP的信息表示方式
在LDAP中信息以樹狀方式組織,在樹狀信息中的基本
數據單元是條目,而每個條目由屬性構成,屬性中存儲有屬性值;LDAP中的信息模式,類似於
面向對象的概念,在LDAP中每個條目必須屬於某個或多個對象類(Object Class),每個Object Class由多個屬性類型組成,每個屬性類型有所對應的語法和匹配規則;對象類和屬性類型的定義均可以使用繼承的概念。每個條目創建時,必須定義所屬的對象類,必須提供對象類中的必選屬性類型的屬性值,在LDAP中一個屬性類型可以對應多個值。
在LDAP中把對象類、屬性類型、語法和匹配規則統稱為Schema,在LDAP中有許多系統對象類、屬性類型、語法和匹配規則,這些系統Schema在LDAP標準中進行了規定,同時不同的套用領域也定義了自己的Schema,同時用戶在套用時,也可以根據需要自定義Schema。這有些類似於XML,除了XML標準中的XML定義外,每個行業都有自己標準的DTD或DOM定義,用戶也可以自擴展;也如同XML,在LDAP中也鼓勵用戶儘量使用標準的Schema,以增強信息的互聯互通。
在Schema中最難理解的是匹配規則,這是LDAP中為了加快查詢的速度,針對不同的數據類型,可以提供不同的匹配方法,如針對字元串類型的相等、模糊、大於小於均提供自己的匹配規則。
3.2 命名模型:描述LDAP中的數據如何組織
LDAP中的命名模型,也即LDAP中的條目定位方式。在LDAP中每個條目均有自己的DN和RDN。DN是該條目在整個樹中的唯一名稱標識,RDN是條目在父節點下的唯一名稱標識,如同檔案系統中,帶路徑的檔案名稱就是DN,檔案名稱就是RDN。
在LDAP中共有四類10種操作:查詢類操作,如搜尋、比較;更新類操作,如添加條目、刪除條目、修改條目、修改條目名;認證類操作,如綁定、解綁定;其它操作,如放棄和擴展操作。除了擴展操作,另外9種是LDAP的標準操作;擴展操作是LDAP中為了增加新的功能,提供的一種標準的擴展框架,當前已經成為LDAP標準的擴展操作,有修改密碼和StartTLS擴展,在新的RFC標準和草案中正在增加一些新的擴展操作,不同的LDAP廠商也均定義了自己的擴展操作。
3.4 安全模型:描述LDAP中的安全機制
LDAP中的安全模型主要通過身份認證、安全通道和
訪問控制來實現。
3.4.1身份認證
在LDAP中提供三種認證機制,即匿名、基本認證和SASL(Simple Authentication and Secure Layer)認證。匿名認證即不對用戶進行認證,該方法僅對完全公開的方式適用;基本認證均是通過用戶名和密碼進行身份識別,又分為簡單密碼和摘要密碼認證;SASL認證即LDAP提供的在SSL和TLS安全通道基礎上進行的身份認證,包括
數字證書的認證。
3.4.2 通訊安全
在LDAP中提供了基於SSL/TLS的通訊安全保障。SSL/TLS是基於PKI
信息安全技術,是當前Internet上廣泛採用的安全服務。LDAP通過StartTLS方式啟動TLS服務,可以提供通訊中的數據保密性、完整性保護;通過強制客戶端證書認證的TLS服務,同時可以實現對客戶端身份和
伺服器端身份的雙向驗證。
雖然LDAP並無訪問控制的標準,但從一些草案中或是事實上LDAP產品的訪問控制情況,我們不難看出:LDAP訪問控制異常的靈活和豐富,在LDAP中是基於訪問控制策略語句來實現訪問控制的,這不同於現有的關係型資料庫系統和套用系統,它是通過基於
訪問控制列表來實現的,無論是基於組模式或角色模式,都擺脫不了這種限制。
在使用關係型資料庫系統開發套用時,往往是通過幾個固定的資料庫用戶名訪問資料庫。對於套用系統本身的訪問控制,通常是需要建立專門的用戶表,在套用系統內開發針對不同用戶的訪問控制授權代碼,這樣一旦訪問控制策略變更時,往往需要代碼
進行變更。總之一句話,關係型資料庫的套用中用戶
數據管理和資料庫訪問標識是分離的,複雜的數據
訪問控制需要通過套用來實現。
而對於LDAP,用戶數據管理和訪問標識是一體的,套用不需要關心訪問控制的實現。這是由於在LDAP中的訪問控制語句是基於策略語句來實現的,無論是訪問控制的
數據對象,還是訪問控制的主體對象,均是與這些對象在樹中的位置和對象本身的數據特徵相關。
在LDAP中,可以把整個目錄、目錄的子樹、制定條目、特定條目屬性集或符合某過濾條件的條目作為控制對象進行授權;可以把特定用戶、屬於特定組或所有目錄用戶作為授權主體進行授權;最後,還可以定義對特定位置(例如IP位址或DNS名稱)的訪問權。
4. LDAP數據結構
PART4
LDAP是實現了指定的數據結構的存貯,它包括以下可以用關係資料庫實現的結構要求:樹狀組織、條目認證、類型定義、許可樹形記錄拷貝。
4.1 樹狀組織
無論是X500還是LDAP都是採用樹狀方式進行記錄。每一個樹目錄都有一個樹根的入口條目,子記錄全部是這一根條目的子孫。這是目錄與關係數據類型最大的區別(關係資料庫的套用結構也可實現樹狀記錄)。因此,把目錄看作是更高級的樹狀資料庫也未嘗不可,只不過除此外,它不能實現關係存貯的重要功能。
4.2 條目和條目認證
LDAP是以條目作為認證的根據。ROOT的許可權認證與目錄本身無關,但除此外所有條目的認證許可權由條目本身的密碼進行認證。LDAP可以配置成各種各樣不同的父子條目許可權繼承方式。
每一個條目相當於一個單一的平面文本記錄,由條目自身或指定的條目認證進行
訪問控制。因此,LDAP定義的存貯結構等同於一批樹狀組織的平面資料庫,並提供相應的訪問控制。
條目中的記錄以名-值對的形式存在,每一個名值對必須由數據樣式schema預定義。因此,LDAP可以看作是以規定的
值類型以名值對形式存貯在一系列以樹狀組織的平面資料庫的記錄的集合。
4.3 數據樣式(schema)
數據樣式schema是針對不同的套用,由用戶指定(設計)類和屬性類型預定義,條目中的類(objectclass)和屬性必須在在LDAP
伺服器啟動時載入記憶體的schema已有定義。因此,AD
活動目錄中的條目記錄就必須符合Active Directory的schema中。如果已提供的schema中的定義不夠用,用戶可以自行定義新的schema.
在http://ldap.akbkhome.com/index.php中可以看到常用的schema。
4.4 對象類型(objectClass)
LDAP目錄用對象類型(objectclass)的概念來定義運行哪一類的對象使用什麼屬性。
條目中的記錄通過objectclass實現分類,objectClass是一個繼承性的類定義,每一個類定義指定必須具備的屬性。如某一條目指定必須符合某個類型,則它必須具備
超類所指定的屬性。
通過objectclass分類,分散的條目中的記錄就實際上建立了一個索引結構,為高速的讀查詢打下了基礎。Objectclass也是過濾器的主要查詢對象。
4.5 過濾器和語法
LDAP是一個查詢為主的記錄結構,無論是何種查詢方式,最終都由過濾器缺點查詢的條件。過濾器相當於SQL中的WHERE子句。任何LDAP的類過濾和字元串都必須放在括弧內,如(objectclass=*),指列出所有類型的記錄(不過分類)。
可以使用=,>=,<=,~=(約等於)進行比較,如(number<=100)。合併條件是最怪的,必須把操作符放在兩個操作對象的前面而不是中間,單一操作對象用括弧括起來。如
l A與B,不是A&B,而是(&(A)(B))。
l 或使用"|"表示;
l 非使用"!"表示。
l 對於"與",或"或"在操作符後可以跟多個
條件表達式,但非後則只參是單個表達式。
詳見RFC1558。
4.6 樹移植
LDAP最重要的特性和要求並不是讀性能,而是擴展性。這一特性是通過樹移植和樹複製實現的。按LDAP的RFC要求,LDAP目錄應該可以任意地在不同的目錄間連線、合併並實現自動複製,及自動性同步。這意味著用戶可以在任一LDAP中訪問條目,而不用管其中某一部分是否複製自全世界另一目錄中的記錄,同時另一目錄中的記錄同樣在正常運作。
這一特性如果在關係資料庫中實現,意味著要使用程式化的非規範化預複製。類似於匯總帳目的設計。
4.7 LDIF交換檔案
LDIF是LDAP約定的記錄交換格式,以平面文本的形式存在,是大部分LDAP內容交換的基礎,如拷貝、添加、修改等操作,都是基於LDIF檔案進行操作。
4.8 JAVA或CORBA對象串列化存儲
網路高效率的訪問加上JAVA的跨平台能力,當把JAVA或CORBA對象
串列化後存儲到LDAP目錄上時,可以產生非同一般的集成效果--實際上,這正是EJB和.NET的網路定位基礎技術。
使用JAVA或CORBA對象存儲時,必須首先讓LDAP服務支持該對象定義,也就是說包含qmail.schema或corba.schema。
JAVA必須存儲在objectclass=javacontainer的條目中,而且必須帶有cn屬性,這意味著除非該JAVA類專門實現了DirContext接口,對於大多數JAVA類來說,只能採用DirContext代替Context實現bind的添加操作。取出JAVA類相對要簡單得多,只需使用context.lookup()獲得該對象的句柄,然後強制造型成所需要的對象就可以了,如:
Person p=(Person)contex.lookup("cn=elvis,dc=daifu,dc=com");
這個句法在EJB的程式中,是經常用到的。
使用CORBA的跨語言性質,使用CORBA存儲對象比JAVA更加誘人,這意味著所存儲的對象可以被任何語言編寫的客戶端訪問。其實,微軟的.net說到底也非常簡單,無非是把COM對象存儲到微軟自家的目錄ActiveDirectory裡面,從而可以在網路範圍內使用任何微軟平台的語言進行對象訪問而已。眾所周知,COM就是與CORBA相對的微軟規範。
使用對象
串列化技術,可以把常用對象如某個印表機,某個客戶直接存儲到LDAP中,然後快速獲取該對象的引用,這樣,就比把對象信息存儲到關係資料庫中,分別取出屬性,然後再初始化對象操作的做法,效率要高得多了。這是LDAP比普通關係資料庫存儲要優秀的地方,而對象資料庫還不成熟。